Cisco ASA - Блокирование трафика БитТоррента

Я попытался сделать это и столкнулся с несколькими проблемами. Самое большое было то, что большинство bittorrent клиентов в эти дни выберет случайный порт за пределами того диапазона. Блокирование всего 6881-6999 является запуском, но будет легко побеждено. Даже если Вы заблокируете весь UDP и высокие порты, то клиенты в конечном счете переключатся для портирования 80 и 443 (HTTP и HTTPS), который, по-видимому, Вы не хотите блокировать.

Я не нашел хороший путь к полностью блоку bittorrent. Bittorrent развился и адаптировался вокруг всех видов блоков и продолжит уклоняться от попыток заблокировать его. Я уверен, что существует способ использовать Глубокую проверку пакетов, чтобы определить и завершить работу его, но у меня не было шанса посмотреть на это. И я не уверен, как успешный, который произошел бы из-за bittorrent клиентов, использующих шифрование по умолчанию теперь.

Я использовал этот код на своем ASA для по крайней мере крайней помощи ситуации. Я уверен, что это блокирует другие полезные вещи, но у меня не было жалоб от пользователей.

object-group service Blocked-UDP-Ports udp
 description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
 port-object range 10001 65535
 port-object range 1024 1193
 port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
 description TCP Ports used by Bit Torrent for tracker communication
 port-object eq 2710
 port-object range 6881 6999

access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive